sábado, 26 de noviembre de 2022

TÁCTICAS PARA COMBATIR LOS BOTS MALICIOSOS: Señales de alerta temprana y medidas que puedes adoptar

Los bots representan hoy día casi el 40 % del tráfico en línea y muchos de ellos quieren poner en peligro a organizaciones como la tuya. Desde la apropiación de contenido hasta la acumulación de inventario, pasando por el relleno de credenciales, los bots maliciosos son cada vez más complejos y sofisticados. Muchos incluso son capaces de eludir los desafíos CAPTCHA y otras pruebas sencillas de verificación de usuarios.

Es más, mientras que algunos bots perfeccionan sus tácticas contra empresas específicas, un solo bot o botnet puede amenazar a un gran número de organizaciones diferentes.

Por esta razón, no hay una sola táctica que pueda detener a todos los bots y evitar que perjudiquen a tus usuarios y marca. El único enfoque eficaz es prestar atención a un amplio abanico de señales de advertencia de bots, responder a cada una de ellas recopilando datos y, a continuación, implementar respuestas específicas, detección de patrones, análisis predictivo y otras estrategias complementarias.

Señales de advertencia de un problema de bots

El seguimiento de una serie de indicadores potenciales te ofrecerá grandes posibilidades de detectar bots maliciosos antes de que puedan afectar gravemente a tu organización. Centra tu atención en lo siguiente:

Incremento de los costes de infraestructura sin que exista un aumento del volumen de negocio

Todo el tráfico a tu sitio web tiene un coste. Con independencia de quién o qué acceda a tu contenido, tienes que asumir los costes de almacenamiento y procesamiento. Sin embargo, los bots maliciosos pueden aumentar los costes relacionados con tu tráfico sin generar ingresos a tu negocio. Si bien los motores de búsqueda utilizan bots buenos para indexar el contenido de tu sitio y, por tanto, benefician a tu posicionamiento SEO, los bots maliciosos generan gastos excesivos de ancho de banda cada año.

Compras inusuales de inventario de bajo volumen y mucha demanda

Si adviertes que estás vendiendo, de modo sospechoso, un porcentaje alto de tus existencias a un subgrupo sorprendentemente pequeño de compradores, es posible que los responsables sean bots que acumulan inventario. Aunque algunos de estos bots simplemente llenan los carros de la compra y los abandonan después para impedir su acceso a clientes legítimos, otros realmente compran tu inventario con el objetivo de revenderlo a un precio más alto en otros sitios.

Aumento de las reclamaciones de los clientes 

Un aumento de las incidencias de soporte relacionadas con el bloqueo de cuentas y transacciones fraudulentas podría indicar la existencia de bots de relleno de credenciales. Estos bots se apoderan de las cuentas de usuario legítimas con la información que han recopilado de fugas anteriores. Además de afectar negativamente a la experiencia de tus clientes, estas transacciones fraudulentas sobrecargarán tus servidores, aumentando el tiempo de carga de las páginas, o incluso interrumpiendo tu sitio web. 

Aumento de los intentos de inicio de sesión fallidos

Todos los clientes escriben de vez en cuando contraseñas erróneas, pero si adviertes un número repentino de intentos fallidos de inicio de sesión, es muy probable que tengas un problema de bots. Si bien algunos bots de relleno de credenciales intentan acceder a las cuentas de clientes legítimos con credenciales robadas, una técnica más sencilla y frecuente es lanzar un ataque por fuerza bruta, en el que los bots intentan iniciar sesión de forma reiterada y muy rápida mediante el uso de diccionarios de miles de nombres de usuario y contraseñas populares. Cuando un bot excede el límite de inicios de sesión fallidos para una cuenta en particular de tu sitio, el acceso del propietario legítimo de esa cuenta se bloqueará hasta que resuelvas el problema, lo cual afectará a la experiencia del usuario.



Bajo rendimiento del gasto en publicidad

La publicidad digital puede ser una herramienta eficaz para atraer tráfico a tu sitio, pero también es un arma lucrativa para los bots maliciosos. Muchos bots de tráfico imitan el comportamiento de los usuarios humanos. Hacen clic en tus anuncios de forma reiterada para aumentar tu gasto de pago por clic (PPC) y luego abandonan sin realizar una compra. Aunque algunas plataformas publicitarias han desplegado algoritmos de aprendizaje automático para reducir el fraude de clics, gran parte sigue sin detectarse. Por eso, es muy importante actuar de manera preventiva y monitorear cada clic en tus anuncios.

Analítica sesgada de las vistas de página 

Si las vistas de tus páginas aumentan de manera repentina sin motivo aparente, los bots maliciosos podrían ser los responsables. Si bien un aumento en el tráfico puede proceder de usuarios humanos cuando acabas de lanzar un nuevo producto o un evento de promoción, los operadores de bots maliciosos son cada vez más inteligentes en cuanto a la implementación de bots de apropiación de contenido justo en esos momentos. Se dedican a robar tu contenido y afectan de manera negativa a tu analítica de datos globales.

Aumento repentino de creación de cuentas 

Cuando cientos o miles de nuevas cuentas de usuario aparecen de la nada, es posible que se trate de bots. Pueden usar estos perfiles falsos para enviar spam a tus calificaciones públicas y cometer muchas otras formas de fraude, lo que pone en riesgo no solo tus ingresos y retención de usuarios, sino también la credibilidad de tu marca.

Duplicados de tu contenido en sitios no autorizados 

Que otros sitios compartan tu contenido puede ser bueno, pero un aumento repentino del contenido duplicado es un indicio de bots de apropiación de contenido. Estos bots roban información que te ha llevado tiempo reunir y organizar, y permite a los operadores de sitios malintencionados alojarla en dominios de su propiedad y aumentar su propio tráfico, mientras el tuyo se ve afectado. 


Tráfico procedente de ubicaciones geográficas inusuales

Los picos repentinos procedentes de ubicaciones inesperadas pueden ser un indicio de bots maliciosos, en especial, si esta actividad aparece en categorías, en regiones en las que no viven tus clientes o en las que tus servicios no están disponibles. Debes estar atento a cualquier actividad sospechosa que no esté relacionada con tu base de usuarios habituales.

Tráfico desde ubicaciones normales en horarios inusuales

Así como los picos de tráfico desde lugares inesperados pueden ser indicios de bots maliciosos, los picos de tráfico desde lugares normales en horarios inusuales pueden indicar que los bots están tratando de hacerse pasar por tus usuarios habituales. Si observas un aumento en la actividad desde una región habitual en la mitad de la noche, por ejemplo, debes investigar más en detalle ese tráfico.

Aumento en los errores de validación de tarjetas

Una señal de bots maliciosos especialmente peligrosa es un aumento en las transacciones con tarjetas de crédito que no se pueden validar. Los bots de relleno de tarjetas de crédito probarán miles de números de tarjetas de crédito robadas en un intento por encontrar una que funcione. Para hacerlo, efectúan compras de bajo valor en sitios web menos seguros, antes de hacer transacciones más grandes en sitios más importantes, o venden los números de tarjetas validadas en la web oscura (Dark Web). Tu sitio puede formar parte de estos planes en cualquier momento de la cadena, y si las transacciones fallidas son muy notorias, tu proveedor de pagos podría sancionarte.



Tácticas para combatir los bots

Como no hay dos ataques de bots iguales, normalmente necesitarás una combinación de tácticas para frenar su avance. Considera algunas de las siguientes estrategias:

Bloquea los bots maliciosos en cuanto los detectes

La respuesta más clara a un bot es también una de las más efectivas. Bloquea solo el tráfico identificado como procedente de actividades de bots maliciosos. Por sí sola, esta táctica puede ahorrarte costes significativos en ancho de banda y almacenamiento, además de proteger al consumidor y la reputación de tu marca. A su vez, recuerda que si un operador de bots está muy motivado, puede cambiar de táctica e intentarlo más tarde con una estrategia de ataque diferente.

Incluye todos los bots buenos que conoces en una lista de permitidos 
 
Incluso cuando detectas y bloqueas los bots maliciosos, es fundamental que te asegures de que los bots buenos de los motores de búsqueda y los socios puedan seguir obteniendo información de tu sitio. Esto no solo garantiza que tu clasificación de SEO siga siendo sólida, sino que también mantiene un buen flujo de tráfico de clientes legítimos de servicios de terceros que te envían tráfico. Las listas de permitidos también facilitan el establecimiento de normas de bloqueo de bots que no afectan, de manera negativa, el acceso de visitantes reales.

Desafía a los bots sospechosos que detectes

Apenas observes un patrón de inicio de sesión sospechoso, baja profundidad de página, escaso tiempo de permanencia en el sitio, fallos en las validaciones de tarjetas de crédito, o cualquier otro comportamiento típico de los bots maliciosos, debes realizar una prueba de seguridad, como un desafío CAPTCHA para verificar esa sospecha. Sin embargo, debes tener en cuenta que muchos bots avanzados pueden resolver estas pruebas igual de fácil que los usuarios humanos. De este modo, aunque los desafíos CAPTCHA pueden resultar útiles para algunos bots, se deben combinar con otras tácticas. Además, los CAPTCHA impactan en la experiencia del usuario, y afectan a la percepción que los visitantes humanos tienen de tu marca de manera negativa. Por lo tanto, es fundamental asegurarse de que se usan para los bots sospechosos y no para los usuarios legítimos.




Limita la velocidad a la que los usuarios pueden solicitar información

La limitación de velocidad puede ser una técnica efectiva para mantener bajo control a los bots menos sofisticados. Establecer límites estrictos en cuanto a la cantidad de veces que una dirección IP puede enviar solicitudes a tu sitio evitará muchos ataques simples de fuerza bruta de bots, que intentan iniciar sesión usando miles de palabras del diccionario y contraseñas comunes. Sin embargo, los bots más avanzados de hoy en día pueden mantener el número de solicitudes por debajo de tu limitación de velocidad, evitando así su detección mientras continúan provocando daños.

Registra todo el tráfico de tu sitio en detalle

Si bien es probable que lleves registros diarios de visitas a las páginas e inicios de sesión en las cuentas, un registro más detallado de la información de los usuarios, tales como: Direcciones IP, navegadores, dispositivos, sistemas operativos, geolocalizaciones, sitios de referencia, redes y visitas de páginas, pueden resultar de ayuda inestimable para detectar patrones de actividad más sutiles. Los registros pueden darte una idea clara de cómo se suelen comportar los bots en tu sitio y te permiten establecer políticas de seguridad más efectivas. Además, suelen ser esenciales para informar y cumplir con la normativa en caso de fuga de datos. 

 Redirecciona los bots a contenido alternativo

Cuando tengas la certeza de que una determinada fuente de tráfico es un bot, entrégale contenido alternativo que consuma sus recursos informáticos. Incluso puedes ofrecer datos falsos, p. ej, información de precios errónea, a los bots que se apropian del contenido, para hacer que resulten inútiles para sus operadores. Con técnicas como estas ganarás tiempo para observar el comportamiento de los bots, entender el patrón de actividad y preparar una estrategia para acabar con ellos de una vez.
 

Exige métodos de autenticación adicional a todos los usuarios

Conforme los ataques de bots se hacen más frecuentes, cada vez más sitios recurren a medidas de seguridad más estrictas, incluso para otorgar acceso a los usuarios legítimos. La autenticación en dos fases (2FA), por ejemplo, exige que los usuarios confirmen su identidad en varios dispositivos o cuentas, mientras que las contraseñas de un solo uso (OTP) pueden desalentar a los bots de relleno de credenciales porque dificultan el descifrado de cuentas. Pero recuerda que estas técnicas pueden tener un impacto negativo en la experiencia del usuario y hacer más engorroso el proceso de inicio de sesión.

Conclusión

Cuando analices estas tácticas, recuerda que ninguna de ellas detendrá a los bots de manera aislada. Para proteger tu empresa, es probable que debas combinar tácticas y añadir un análisis avanzado de patrones de múltiples variables. Nuestra solución Gestión de bots puede ayudar a organizaciones de diversos sectores a adoptar este enfoque multidimensional. Se incorpora a la red más amplia de Cloudflare, que da soporte a más de 25 millones de propiedades de Internet y se extiende por más de 200 ciudades del mundo. La solución Gestión de bots de Cloudflare, que aprovecha la información continua sobre amenazas de toda esa red, ofrece análisis de comportamiento, aprendizaje automático y huellas digitales para olvidar, en gran parte, el esfuerzo que supone luchar contra los bots maliciosos.

Fuente: www.cloudflare.com para más información

martes, 22 de noviembre de 2022

ATAQUES DE CRIADAS MALVADAS - REMEDIACIÓN POR POCO DINERO

 

NOTA PRELIMINAR

En este diario, asumimos dispositivos similares a PC con cifrado de disco de última generación (cifrado de disco completo, FDE) y un sistema operativo de escritorio "normal" (Linux, Windows, ...).


¿Qué es el ataque de la criada malvada?

El llamado ataque de la criada malvada es un ataque contra dispositivos de hardware que utilizan hardware y/o software. Se lleva a cabo cuando el hardware se deja desatendido, por ejemplo, en una habitación de hotel cuando sale a desayunar. El atacante manipula el dispositivo de forma maliciosa, por ejemplo:


    • Si el dispositivo está funcionando: enfríe y saque la memoria RAM para copiarla (por ejemplo, para encontrar información confidencial).
    • Manipular la placa base / BIOS (por ejemplo, para agregar una puerta trasera).
    • Manipular el contenido del cargador de arranque sin cifrar (por ejemplo, para agregar una puerta trasera).

    El último ataque puede incluso funcionar con el inicio seguro habilitado debido a vulnerabilidades de día cero en el código de inicio firmado o vulnerabilidades conocidas en el código de inicio firmado, que no está deshabilitado debido a listas de revocación obsoletas en el BIOS.


    Tus posibles opciones:

    Hay varias formas de minimizar el riesgo de un ataque de sirvienta malvada exitoso e inadvertido. El camino que elija depende de su modelo de amenaza personal (y de su presupuesto, por supuesto).


      1. Tomar el riesgo: 
      Si los ataques de la criada malvada no importan en su situación, por ejemplo, porque está utilizando un dispositivo desechable que ya se supone que está comprometido, entonces simplemente puede correr el riesgo.

          2. Hardware adecuado:

      Puedes comprar (o prepararte tú mismo) dispositivos endurecidos especiales (por ejemplo, NitroPad) que hacen que los ataques de las sirvientas malvadas sean casi imposibles de pasar desapercibidos:

      • Tornillos sellados.
      • BIOS/firmware alternativo (Coreboot (https://www.coreboot.org/) y Heads (https://osresearch.net/FAQ/))
      • Intel Management Engine desactivado
      • Llave de hardware para comprobar las firmas/integridad de los archivos de arranque con su llave PGP personal.
      • Cifrado de disco completo.

      Estos dispositivos hacen que el proceso de arranque sea más confiable que el uso de hardware de consumo común:

        • Únicamente código de firmware y BIOS de código abierto.
        • Código de inicio firmado con su clave PGP personal almacenada en un dispositivo de hardware USB y solo conectado temporalmente al sistema para llevar a cabo las comprobaciones de firma.
        • Cifrado de disco completo.
        • Opcional (¿pero genial?): Qubes OS

            3. Deje su dispositivo en funcionamiento:

        Si deja su dispositivo ejecutando el sistema operativo por un lado, probablemente notará si el dispositivo se apagó o se reinició: puede, por ejemplo, tener un editor abierto con algún texto individual no guardado y la pantalla bloqueada. Pero, por otro lado, con un sistema operativo en ejecución, tiene una superficie de ataque muy amplia porque toda la funcionalidad del dispositivo está activa (por ejemplo, interfaces periféricas). Entonces, un atacante puede, por ejemplo, agregar una tarjeta LAN USB y meterse con el sistema tratando de conectarse a la LAN controlada por el atacante. O la agencia de tres letras puede aplicar el exploit desconocido públicamente para el próximo día 0 del sistema operativo o un controlador.

            4. Remediación a bajo precio:

          Si desea tener una solución económica para estar razonablemente seguro de que nadie pasa desapercibido con su dispositivo cuando tiene que dejarlo solo, puede llevar a cabo algunas contramedidas, por ejemplo:


          • Selle todos los tornillos con esmalte de uñas o pegamento con piezas de brillantina y tome fotografías que estén almacenadas fuera de línea para que pueda detectar manipulaciones.
          • Selle las interfaces periféricas no necesarias (por ejemplo, puertos USB).
          • Bloquear los puertos periféricos necesarios con soluciones a prueba de manipulaciones (por ejemplo, bloqueos de un solo uso que deben destruirse para acceder al puerto).
          • Deje el dispositivo en la solicitud de contraseña de arranque del FDE:
          1. (re-) inicie su dispositivo en la solicitud de contraseña FDE.
          2. e ingrese los primeros caracteres de la contraseña correcta (¡importante!)
          3. asegúrese de que el dispositivo permanezca en este modo hasta que regrese (por ejemplo, tiene suficiente energía o la fuente de alimentación está enchufada, deshabilite la configuración de ahorro de energía, ...)


          Cuando regrese, ingrese el resto de la contraseña FDE y, si el dispositivo arranca, puede estar razonablemente seguro de que no ha sido manipulado. Por supuesto, debe examinar el dispositivo físicamente a fondo, por ejemplo, los tornillos, los puertos periféricos, los sellos, etc. Una condición previa importante para que esto funcione es que el código de inicio FDE permita que la solicitud de contraseña permanezca tal como está después de ingresar algunos caracteres. . Fedora 7 y Ubuntu 20.04 parecen funcionar, pero Bitlocker (Windows) no. ¿Esto es a prueba de balas? No. ¿Será esto razonablemente seguro? Depende de su modelo de amenaza. Pero definitivamente es mejor que no hacer nada, dejar el sistema operativo funcionando o apagar el dispositivo por completo. ¡Mantente a salvo y seguro!


          Fuente: isc.sans.edu

          ¡LA CAMPAÑA DE PHISHING DE ANTIVIRUS FALSOS DE McAfee ESTÁ DE VUELTA!

          Ayer recibí este correo electrónico de que mi suscripción antivirus de McAfee ha caducado y que mi equipo ya está infectado con 5 virus (¿cómo lo saben?). El contenido general de este correo electrónico es simple y directo al grano y es similar a algo que Xavier publicó a principios de este año.


          El correo electrónico suena aterrador (infectado con malware), sin embargo, algunas pistas del encabezado del correo electrónico, el remitente no es McAfee, lo que sea que me pidan que haga, indican que soy el objetivo de un correo electrónico de phishing y es probable que quieran dinero.



          El cuerpo del correo electrónico afirma que ya estoy comprometido y para resolver el problema es primero ejecutar un escaneo en línea contra mi host. Copié la URL oculta en CONTINUE y utilicé wget para obtener una copia del sitio. Estos son los resultados paso a paso:



          Y encontró 35 virus dañinos en mi computadora.




          Por último, los resultados del escaneo y qué malware se encontró en la PC. El correo electrónico inicial afirmaba que la computadora estaba infectada con5virus, luego35y, por último, después del escaneo final, solo hayuno.

           


          Lo que me pareció interesante, no importaba cuántas veces ejecutaba el escaneo, siempre devolvía los mismos resultados (escaneo en vivo y con la copia wget). Virustotal tiene una detección muy baja y con 2 proveedores que identifican esto como spam. Sentí curiosidad y busqué Tapsnakey resultó que "es una estafa de scareware que implica coerción para comprar protección contra un virus informático inexistente que se ha distribuido de varias maneras". Al final, nunca recibí una copia del antivirus McAfee.

           

          Una última cosa, revisé la información de Whois del dominio para ver cuándo se registró o actualizó este dominio, esto a menudo puede ofrecer algunas pistas si se usa con fines maliciosos. Lo suficientemente interesante, este dominio se actualizó hoy. Aquí está el resumen de la lista actual:

           

          Nombre de dominio: collectyoursordersnow.com

          Registry ID de dominio: 2699308613_DOMAIN_COM-VRSN
          Registrador WHOIS Server: whois.namesilo.com
          URL del registrador: https://www.namesilo.com/
          Fecha actualizada: 2022-11-19T07:00:00Z Fecha de creación: 2022-05-26T07:00:00Z Fecha de caducidad del registro del registrador: 2023-05-26T07:00:00Z


          Registrador: NameSilo, LLC


          Fuente: isc.sans.edu


          miércoles, 16 de noviembre de 2022

          QUÉ HACER PARA ELIMINAR UN VIRUS SIN ANTIVIRUS

           


          Son muchas las amenazas de seguridad que pueden afectar a los dispositivos, como puede ser un ordenador o un móvil. Hay muchos tipos de virus y malware en general que pueden estar diseñados para robar contraseñas, datos y, en definitiva, provocar un mal funcionamiento. Para evitar este problema podemos usar programas de seguridad. Ahora bien, ¿es posible eliminar un virus sin antivirus? En este artículo vamos a dar algunos consejos sobre cómo sería posible hacerlo.

          Pasos para eliminar malware sin antivirus

          Puede que por algún motivo tu equipo se haya infectado con algún virus. Por ejemplo si has bajado algún programa malicioso, has descargado un archivo que te ha llegado por e-mail y en realidad era un fraude, tienes alguna vulnerabilidad, etc. Sea cual sea el motivo, este tipo de software malicioso puede comprometer tu seguridad y conviene eliminarlo. Sin embargo no siempre tenemos un antivirus instalado, pero aun así hay algunas acciones que podemos hacer y que en ocasiones funcionan.

          Administrador de tareas

          Una opción que puedes tener en cuenta es la de utilizar el administrador de tareas de Windows. Es una característica que nos permite ver todos los procesos que están en ejecución en un momento dado. Ahí aparecerán procesos del navegador, como por ejemplo Chrome, así como cualquier software o función del equipo.

          Para acceder a esta características tienes que pulsar la combinación de teclas Ctrl + Alt + Supr. Allí tienes que ir a Administrador de tareas. Cuando estés dentro, verás una pestaña que pone Procesos. Esa es la que tienes que abrir. Tienes que buscar el proceso que creas que puede ser problemático. Por ejemplo puedes ver que consume muchos recursos y que está provocando problemas.

          Para eliminarlo tienes que pinchar con el segundo botón del ratón y le das a Ubicación del archivo. Ahí verás el archivo correspondiente y ya podrás eliminarlo. Es un proceso sencillo y que en ocasiones puede ayudarte a solucionar problemas de este tipo.

          Eliminar archivos sospechosos

          Esto es útil si has descargado recientemente algún archivo que creas que puede ser un problema de seguridad. Si de repente notas que algo empieza a ir mal, que el sistema no responde como debería, puedes mirar qué has descargado recientemente. Tal vez algún programa, algún archivo que te ha llegado por e-mail, etc.

          Lo que tienes que hacer es ir a la carpeta donde descargas los archivos y allí ver cuál puede ser problemático. Solo tienes que eliminarlo del equipo. Si fuera un programa que ya has instalado, lo que tendrías que hacer es ir a Inicio, entras en Panel de control, vas a Aplicaciones y allí le das a desinstalar.

          Desinstalar complementos

          Es común que muchas amenazas de seguridad lleguen a través de complementos que instalamos en el navegador. Las extensiones son muy útiles, sirven por ejemplo para agrupar pestaña u optimizar las descargas, pero también pueden ser problemáticas. Esto puede generar conflictos en Google Chrome o Mozilla Firefox.

          Si ves que tienes problemas con alguna extensión que has instalado recientemente, lo que debes hacer es simplemente eliminarla. Puedes ir al menú de arriba a la derecha del navegador, entras en Configuración y pinchas en Extensiones. Automáticamente te llevará a una ventana donde aparecen todas las que tienes instaladas.

          La idea aquí es eliminar la última que hayas instalado y que puede ser la que está causando problemas. Al borrarla, el sistema podría empezar a funcionar con normalidad nuevamente y evitar así problemas.

          Función MRT de Windows

          Windows también cuenta con una función llamada MRT. Es otra opción de eliminar virus sin antivirus. Se trata de una herramienta de eliminación de software malintencionado de Microsoft. Puede detectar y eliminar algunos virus y amenazas que pueda haber en el sistema. Realmente no es un antivirus, pero puede actuar para eliminar virus.

          Para ejecutar esta función tienes que ir a Inicio, buscas MRT y lo abres. Una vez abierto tienes que darle a Ejecutar y realizas un análisis completo. La idea es que pueda detectar amenazas que pueda haber en el equipo. Si ves que detecta algo que puede ser una amenaza, deberías eliminarlo del sistema.

          Servicios online

          Más allá de las opciones que hemos mostrado, también puedes utilizar algunos servicios online con los que poder eliminar virus sin necesidad de instalar un programa para ello. Hay diferentes alternativas y son muy útiles también para analizar cualquier documento sospechoso que pueda ser un problema.

          Lo primero es utilizar servicios de seguridad online como Virus Total. Lo que hacen es analizar el equipo, una carpeta o un archivo en concreto. Si detecta algo, puedes eliminarlo. Se encarga de comparar con una base de datos donde aparece una lista de numerosas amenazas conocidas. Otras opciones como F-Secure y Trend Micro son también útiles.

          Pero hay una opción alternativa y es usar el propio Google Drive. ¿Por qué decimos esto? La popular plataforma en la nube de Google tiene un antivirus integrado. Básicamente lo que hace es rastrear todos los archivos que subimos y elimina posibles virus que detecte. Lo que debes hacer es subir ahí el archivo.


          Qué hacer para evitar virus

          Como ves, puedes eliminar virus sin necesidad de instalar un antivirus. No siempre va a ser posible, pero sí son algunas alternativas que en ocasiones pueden ser útiles. Ahora bien, lo interesante realmente es evitar que haya virus. ¿Qué podemos hacer para proteger el sistema y que no haya problemas?

          Algo fundamental es el sentido común y no cometer errores. Evita siempre abrir archivos si no conoces la fuente. Por ejemplo documentos Word o PDF que te lleguen por e-mail y no sepas realmente quién lo ha mandado. Podría tratarse de una estafa y tu seguridad podría verse comprometida sin que te des cuenta.

          También es importante tener todo actualizado. En muchos casos los piratas informáticos se aprovechan de vulnerabilidades que hay en un equipo. Por ejemplo un fallo sin corregir que afecte a Windows. Por tanto, instala siempre todos los parches de seguridad que haya disponibles y actualiza cualquier programa que tengas instalado.

          En definitiva, hay opciones para estar protegidos sin necesidad de contar con un antivirus, aunque eso no significa que no debas usar programas de seguridad. Las alternativas que hemos mostrado las puedes tomar como una opción en caso de emergencia y si no dispones de antivirus. Nuestro consejo es que siempre uses herramientas de seguridad, sin importar qué sistema estés utilizando.


          Fuente: redeszone.net

          lunes, 14 de noviembre de 2022

          CÓMO RESPONDER A LOS ATAQUES DDOS ACUERDO A LAS AGENCIAS GUBERNAMENTALES DE EE. UU Share this...

           La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) han publicado una guía conjunta para responder a la denegación de servicio distribuida (DDoS) ataques.



          Un tipo de ataque cibernético dirigido a aplicaciones o sitios web, los ataques de denegación de servicio (DoS) tienen como objetivo agotar los recursos del sistema de destino para volverlo inaccesible a los usuarios legítimos.

          Los ataques DDOS  pueden tener como objetivo las vulnerabilidades del servidor para sobrecargar los recursos de la red o consumir estos recursos a través del reflejo de un gran volumen de tráfico de red hacia el objetivo, o pueden intentar sobrecargar los recursos de conexión (protocolo) o aplicación (cómputo o almacenamiento) del objetivo.

          Cuando el tráfico de sobrecarga se origina en más de una fuente que opera en conjunto, el ataque se considera DDOS. Las botnets, que son redes de dispositivos comprometidos, incluidas computadoras, dispositivos IoT y servidores, son la fuente más común de ataques DDOS.

          Es díficil responder y recuperarse de los ataques DDOS que producen grandes volúmenes de tráfico, señalan CISA, el FBI y MS-ISAC en su aviso. Dichos ataques pueden conducir a la degradación del servicio, pérdida de productividad, costos de remediación extensos y daños a la reputación.

          "Las organizaciones deben incluir pasos para abordar estos efectos potenciales en su respuesta a incidentes y en sus libros de jugadas de continuidad de operaciones", dicen las tres agencias.

          Los ataques DDoS, las notas de aviso, generalmente no afectan la confidencialidad y la integridad de los sistemas y los datos, pero dichos ataques pueden usarse para desviar la atención de otros tipos de ataques, incluida la implementación de malware y la exfiltración de datos.

          "En un mundo cada vez más interconectado con requisitos adicionales de conectividad remota pospandemia, mantener la disponibilidad de los recursos externos esenciales para el negocio puede ser un desafío incluso para los equipos de TI y de respuesta a incidentes más maduros. Es imposible evitar por completo convertirse en objetivo de un ataque DDoS”, señalan las tres agencias.

          Para mitigar el riesgo de un ataque DDoS, las organizaciones deben conocer todos los activos de Internet y las vulnerabilidades que pueden afectarlos, identificar cómo se conectan los usuarios a la red corporativa, inscribirse en un servicio de protección DDoS, asegurarse de que comprenden las defensas existentes y implementar un plan de respuesta DDoS, dicen las tres agencias.

          La guía conjunta, que se aplica tanto a las agencias federales como a las organizaciones privadas, proporciona recomendaciones adicionales sobre cómo las organizaciones pueden prepararse para los ataques DDoS y detalla los pasos que deben seguir al responder a un ataque en curso.


          Fuente: noticiasseguridad.com


          domingo, 13 de noviembre de 2022

          2 VULNERABILIDADES IMPORTANTES EN PHP PERMITEN QUE HACKER TOME CONTROL COMPLETO DEL SERVIDOR DE APLICACIONES

          ¿Sabía que el sistema de administración de contenido de WordPress impulsa más de 455 millones de sitios web, o más del 30% de todos los sitios web en todo el mundo? Eso representa el 62% de las 100 empresas de más rápido crecimiento, y solo en WordPress, crean 70 millones de nuevos artículos de blog cada mes. ¿Y qué tienen en común Facebook y Wikipedia con el sistema de gestión de contenidos más utilizado en el mundo? La solución es PHP. La mayor parte de la web moderna se basa en PHP, que se ha convertido en el estándar de facto. En respuesta, la seguridad de PHP ha surgido como una nueva dificultad.

          El equipo de PHP ha lanzado un parche para 2 vulnerabilidades importantes. A continuación se muestran los detalles:



          1) LECTURA FUERA DE LOS LÍMITES

          Riesgo: Medio

          CVE-ID: CVE-2022-31630

          Descripción

          La vulnerabilidad permite que un atacante remoto obtenga acceso a información potencialmente confidencial.

          La vulnerabilidad existe debido a una condición límite dentro de la función imageloadfont(). Un atacante remoto puede pasar datos especialmente diseñados a la aplicación web, desencadenar un error de lectura fuera de los límites y leer el contenido de la memoria en el sistema.

          Mitigación

          Instalar actualizaciones desde el sitio web del proveedor.

          Versiones de software vulnerables

          PHP: 8.0.0 – 8.0.24, 8.1.0 – 8.1.11




          2) DESBORDAMIENTO DE ENTEROS

          Riesgo: Alto

          CVE-ID: CVE-2022-37454

          Descripción

          La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.

          La vulnerabilidad existe debido a un desbordamiento de enteros dentro de la implementación de referencia Keccak XKCP SHA-3. Un atacante remoto puede pasar datos especialmente diseñados a la aplicación, desencadenar un desbordamiento de enteros y ejecutar código arbitrario en el sistema de destino o eliminar las propiedades criptográficas esperadas.

          La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

          Mitigación

          Instale la actualización desde el sitio web del proveedor.

          Tenga en cuenta que, en el caso de PHP, la vulnerabilidad reside en la función PHP hash_update().

          Versiones de software vulnerables

          PHP: 8.0.0 – 8.0.24, 8.1.0 – 8.1.11




          Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.


          Fuente: noticiasseguridad.com




          sábado, 12 de noviembre de 2022

          BED BATH & BEYOND INVESTIGANDO LA FILTRACIÓN DE DATOS LUEGO DE QUE UN EMPLEADO CAYERA EN UN ATAQUE DE PHISHING

          Bed Bath & Beyond reveló la semana pasada en una presentación ante la SEC que recientemente sufrió una violación de datos después de que un empleado fuera víctima de un ataque de phishing.



          El minorista ha compartido solo algunos detalles ya que la investigación está en curso. La compañía explicó que se dio cuenta del acceso no autorizado a algunos datos después de que un empleado fuera objeto de una “estafa de phishing” en octubre.

          El hacker obtuvo acceso a los datos en un disco duro y algunas unidades compartidas a las que tenía acceso el empleado objetivo. En este punto de la investigación, no hay evidencia de que las unidades comprometidas almacenen información confidencial o de identificación personal.

          “En este momento, la Compañía no tiene motivos para creer que se accedió a dicha información confidencial o de identificación personal o que este evento podría tener un impacto material en la Compañía”, dijo Bed Bath & Beyond.

          La noticia del hackeo salió a la luz en una presentación ante la SEC en la que la empresa anunció una oferta para vender acciones por un valor de hasta 150 millones de dólares.

          Esta no es la primera vez que Bed Bath & Beyond revela un incidente de ciberseguridad . En 2019, el minorista reveló que se habían violado algunas cuentas de clientes. En ese momento, dijo que los hackers habían obtenido combinaciones de nombre de usuario y contraseña de una violación en una empresa diferente y se basaron en el hecho de que muchas personas usan las mismas credenciales para varias cuentas en línea.

          Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.


          Fuente: cibertip.com

          Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

           Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...